EUデータ保護規則(GDPR)ーデータ主体の8つの権利:ざっと概観しましょう

EUデータ保護規則では、EU指令で保障されていたデータ主体の権利を拡大しています。データ主体の権利に対応して企業側にも義務が生じており、データ主体の権利を理解することは、企業のEUデータ保護規則の遵守にとって必要不可欠です。

データ主体の権利一覧

続きを読む →

EUデータ保護規則(GDPR)ー管理者の義務:情報の通知(Information Notices)

EUデータ保護規則に基づく管理者の義務には様々なものがあります。これらの多くは、データ主体の権利と表裏の関係になっています。情報の通知も同様です。

情報の通知義務

管理者が負う情報の通知義務は、EUデータ保護規則第3章「データ主体の権利」の中の第12条、第13条、第14条に定められています。
EU指令においても、同様の規定がありました(第10条及び第11条)。しかし、データ主体に提供する情報として列挙されているものは多くはなく、しかも構成国が法律で定めることになっていたため、構成国によってデータ主体に通知する情報はばらばらだった感があります。複数の国でビジネスを展開する企業にとっては、各構成国の法制を確認しなければなりませんでした。

これに対して、EUデータ保護規則は、同規則が施行とともに各構成国で適用されるという性質から、EU全体での統一がなされることになり、企業側の負担が減ることになります。しかし、一方で、EUデータ保護規則はデータ主体に通知すべき情報を詳細に掲げているため、この点では企業側の負担は増えるでしょう。

通知の方法

EUデータ保護規則で新たに設けられた条項です。通知は、「簡潔で、透明性ある、分かりやすく簡単に利用できる形式」でなされなければなりません。子供に向けられた情報については、特に「明確で平素な言葉」を使用することも求められています(第12条)。
続きを読む →

忘れられる権利――Google v. Spain

今日は欧州司法裁判所(Court of Justice)が、2014年5月13日にグーグル検索に関して「忘れられる権利」を認めた裁定をまとめておこうと思います。
略してGoogle v. Spain 事件と呼びます。
裁定の英語版はこちらです。
長い裁定を読むのが大変!という方は、プレスリリースで概略を読んでみてはいかがでしょうか。

Google v. Spain事件とは?

Google v. Spain事件は、2010年にスペイン人の弁護士Mario Costeja González氏が、スペインの新聞社とGoogleスペイン社およびGoogle社に対する苦情を、スペインのデータ保護機関(AEPD:the Agencia Española de Protección de Datos)に申し立てた事件が発端です。González氏は、約10年前に社会保障費用の未払いがあり、不動産差押手続きに関連する強制競売について、新聞に名前が載りました。GoogleでGonzález氏の名前を検索すると、過去の2件の新聞記事へのリンクが表示されるようになっていました。

González氏は、まず新聞社に対して、関連するページを削除または変更し、彼に関するデータが表示されないようにすることを求めました。彼は、次にGoogle Spain またはGoogle Inc.に対して、彼に関するデータを削除または隠すかし、検索結果に彼のデータが含まれたり、新聞社へのリンクで表示されないようにすることを求めました。
AEDPは、新聞社の記事は、労働社会政策省の命令に基づいてなされた法的に正当なものであるとして、新聞社に対する苦情は認めませんでした。一方で、Google両社に対する苦情は認めました。

このため、Google Spain社とGoogle社が、スペインの裁判所にAEDPの判断の取消しを求めて訴訟を提起しました。スペインの裁判所は、欧州司法裁判所に、次の3つの問題についてEU個人データ保護指令の解釈を付託しました。理事会(European Commission)のファクトシート(Factsheet on the “Right to be Forgotten” ruling)から抜粋します。
続きを読む →

EUデータ保護規則(GDPR)―EU域外への個人データ移転⑤/特例による移転

EUデータ保護規則-EU域外への個人データ移転①/概観&十分性の決定”では、EUの構成国から第三国に個人データを移転するためには、3つの場合のいずれか(①十分性の決定を受けている国への移転、②十分な保護措置に基づいた移転、③特例による移転)に該当する必要があることを概観しました。
今回は、3番目の特例による移転を簡単に見ていきます。

特例による移転とは?

特例による移転とは、EUデータ保護規則第49条に定められている「特定の状況における例外」にあたる個人データの移転をいいます。

第49条第1項は、第45条第3項に基づく十分性の判断または拘束的企業準則を含む第46条に基づく適切な保護措置がない場合、特定の条件を満たした場合に、第三国に個人データの移転を行うことを認めています。
この特例は、次のような項目に分かれていて、いずれかを満たせば移転することができます。(a)(b)・・・は、条文の号数です。

(a) データ主体が十分性判断及び適切な保護措置の欠如によりデータ主体に当該移転により発生しうるリスクを伝えた上で、データ主体が予定されている移転に明示的に同意をした場合
(b) データ主体と管理者との間の契約の履行に移転が必要な場合
(b) データ主体の請求により講じる契約前の措置の実施のために移転が必要な場合
(c) 管理者と第三者との間でデータ主体の利益のために交わされる契約の締結又は履行に移転が必要な場合
(d) 重要な公共の利益のために移転が必要な場合
(e) 法的主張の構築、行使又は防御のために移転が必要な場合
(f) データ主体または第三者の重要な利益を保護するために移転が必要で、データ主体が身体的または法的に同意を与えることができない場合
(g) EU法または構成国法に従って公に情報を提供し、公衆一般または正当な利益を証明できる者のいずれかによる閲覧のために公開されている記録から移転が行われる場合。但し、EU法または構成国法の定める閲覧の条件が特定の事案で満たされる程度に限られる。

(a)の同意ですが、同意はEUデータ保護規則で変更があったところですので、注意が必要です。”EUデータ保護規則――用語の定義:本人の同意がより厳しくなっています!”で説明しましたので、参考にしてください。

続きを読む →

EUデータ保護規則(GDPR)―行動規範と認証/コンプライアンスの仕組みの強化

今回は、EUデータ保護規則によって、規則の適切な適用のために、新しく定められた2つの仕組みについて見ていきましょう。行動規範(Codes of Conduct)と認証(Certifications)です。

行動規範とは何か

行動規範の意義

行動規範とは、業界団体が定め、その業界団体に属する企業が利用する個人データ保護のルールのことです。

EU指令にも行動規範の規定はあり、構成国がデータ保護の遵守を確保するために行動規範の作成を奨励することが予定されていました(第27条第1項)。策定された行動規範案が指令に沿ったものであるか否かを監督機関が確認する手続もありました。しかし、繰り返しになりますが、EU指令では構成国ごとに指令の解釈が異なることがあり、ある行動規範がある構成国の監督機関では指令に沿っているとみなされても、それが他の構成国でも同じようにみなされる保証はありません。
また、EU指令は、行動規範を第29条作業部会に審査のために提出しうることに触れていますが(第27条第3項)、承認をする手続が予定されているわけでもありませんでした。

これに対して、EUデータ保護規則は、行動規範を規則遵守の仕組みの一つとして、EU指令よりも強固なものに位置付けています。

第一に、構成国、監督機関、欧州データ保護評議会および欧州委員会は、中小・零細企業特有のニーズを考慮しながら行動規範を作ることを奨励しています。

第二に、複数の構成国にまたがる個人データの処理に関する行動規範案は、所定の手続を経て、EU内で一般的な有効性を持つことができます。EUのどこでも同じ有効性を持つことになるわけです。

第三に、EU域外の第三国に個人データを移転する場合、移転先の企業が行動規範を遵守し、データ主体の権利などについて拘束力と執行力をもつ適切な保護措置を備えている場合には、個人データの移転ができるようになります。この点は、別の記事”EUデータ保護規則-EU域外への個人データの移転④”にごく簡単に触れましたので、参考にしてください。

上記のような利点がありますので、行動規範を策定する方がビジネスの効率が高まるとともに、顧客に適正な個人データ保護措置を講じている業界であることを示すことにもなります。策定していない業界は準備を行い、すでに策定済みの業界も、規則に沿って行動規範の見直しをすることになるでしょう。

続きを読む →

EUデータ保護規則(GDPR)―EU域外への個人データの移転④/行動規範と認証 

前回の”EUデータ保護規則―EU域外への個人データの移転③/標準データ保護条項と契約条項“では、標準データ保護条項と契約条項の2つの方法のいずれかを利用すれば、EUから第三国に個人データが移転できることを確認しました。

繰り返しになりますが、EU域外にある十分性の決定を得ていない第三国に個人データを移転する方法は、十分な保護措置に基づくことが必要です。次のような方法があります。表を再掲します。

拘束的企業準則 (BCRs: Binding Corporate Rules) §46Ⅱ(b),§47
標準データ保護条項(欧州委員会が採択または監督機関+欧州委員会の承認) (SDPC: Standard Data Protection Clauses) §46Ⅱ(c)(d),§93Ⅱ
行動規範 (Code of Conducts) §46Ⅱ(e),§40
認証 (Certification) §46Ⅱ(f),§42
契約条項 (Contractual Clauses) §46Ⅲ(a)

今回は、このうちの行動規範(Code of Conduct)と認証(Certification)を簡単に見ていきます。

続きを読む →

EUデータ保護規則(GDPR)―EU域外への個人データの移転③/標準データ保護条項と契約条項

前回の記事”EUデータ保護規則-EU域外への個人データの移転②”では、十分性の決定を受けていない第三国にEUから個人データを移転する場合に、十分な保護措置に基づく移転であることが必要であることを概観しました。表を再掲します。

拘束的企業準則 (BCRs: Binding Corporate Rules) §46Ⅱ(b),§47
標準データ保護条項(欧州委員会が採択または監督機関+欧州委員会の承認) (SDPC: Standard Data Protection Clauses) §46Ⅱ(c)(d),§93Ⅱ
行動規範 (Code of Conducts) §46Ⅱ(e),§40
認証 (Certification) §46Ⅱ(f),§42
契約条項 (Contractual Clauses) §46Ⅲ(a)

十分な保護措置に基づく移転には、5つの場合があり、拘束的企業準則については、すでに前回の記事で触れたところです。
今回は、2番目の標準データ保護条項と5番目の契約条項を見ていきましょう。
続きを読む →

EUデータ保護規則(GDPR)―EU域外への個人データの移転②/十分な保護措置と拘束的企業準則

前回の”EUデータ保護規則―EU域外への個人データの移転①”では、EU域外への個人データの移転を行う場合には、3つの条件のいずれか(①十分性の決定、②十分な保護措置、③特例)を満たす必要があることと、3つの条件の最初の十分性の決定について見てきました。これから、2番目の「十分な保護措置」について考えていきます。まずは、拘束的企業準則について説明しましょう。
なお、2018年5月25日にはEU指令は廃止され、EUデータ保護規則が施行され、仕組みが一変することから、EUデータ保護規則を中心に記述しています。

十分な保護措置とは何か

EUから第三国または国際機関への個人データの移転は、十分な保護措置に基づく場合に行うことができます。十分な保護措置とは、adequate safeguardsを訳したものですが、適切な安全措置と訳す文献も見かけます。EUデータ保護規則によると、次の5つの場合のいずれかを満たす場合を指します。

拘束的企業準則 (BCRs: Binding Corporate Rules) §46Ⅱ(b),§47
標準データ保護条項(欧州委員会が採択または監督機関+欧州委員会の承認) (SDPC: Standard Data Protection Clauses) §46Ⅱ(c)(d),§93Ⅱ
行動規範 (Code of Conducts) §46Ⅱ(e),§40
認証 (Certification) §46Ⅱ(f),§42
契約条項 (Contractual Clauses) §46Ⅲ(a)

続きを読む →

EUデータ保護規則(GDPR)―EU域外への個人データの移転①/概観&十分性の決定

今回は、EU構成国からEU域外に個人データを移転する場合の規制について見ていきます。現代は、飛躍的に個人データが国境を越えるようになりました。たとえばクラウドコンピューティングやITサービスでは、日本国内にある企業であっても、他国に個人データが物理的に存在することがありうることがたやすく理解できるでしょう。
EUは、個人データのEU構成国以外の第三国への移転について、EU個人データ保護指令の時代から取り組んできたパイオニアです。個人データの越境移転について、EUデータ保護規則はどのように定めているのでしょうか。指令の時代と比べて、どの点に変更があるのでしょうか。

 

EU構成国間の個人データ移転

EUの構成国と構成国との間で、個人データを移転することは当然のことながら自由です。
個人データを自由に移転することができる地域は、欧州経済圏(EEA: the European Economic Area)にも拡大されています。つまり、EU構成国28か国とアイスランド、リキテンシュタイン、ノルウェーの31か国間では、個人データを自由に移転することができるのです。EU、EEAの関係については、ミニ知識-EFTA(欧州自由貿易協定)とEEA(欧州経済圏)を参考にしてください。

したがって、日本企業がEU構成国内に事業所を有していたり、その国の法律にしたがい子会社を設立している場合に、EU規則の規律を遵守しつつ、事業者や子会社から他のEU構成国、EEA加盟国に個人データを移転することについては、何ら制限はありません。 続きを読む →

EUデータ保護規則(GDPR)―個人データの処理に関する7つの原則

今回は、個人データの処理に関する原則を見てみます。

指令でも同種の規定がありました(第6条)。
規則は、①合法性、公正性および透明性、②目的制限、③データ最小限性、④正確性、⑤保管制限、⑥完全性および機密性保持、⑦責任という7つの原則を定めています。具体的な条文は第5条になります。

第5条 個人データの処理に関する原則

1 個人データは、

(a)データ主体に関し、合法、公正および透明性ある方法で処理されなければならない<合法性、公正性および透明性>

(b)特定された明示的で正当な目的のために収集され、かつ当該目的に相容れない方法によって処理してはならない。公益のために保管する目的、科学的もしくは歴史的な研究目的または統計目的でさらに行う処理は、第89条1項に従い、当初の目的と相容れないとみなしてはならない。<目的制限>

(c)データが処理される目的に照らし適正で、関連性があり、必要な範囲に限定されなければならない。<データ最小限性>

(d)正確で、必要な場合には最新の状態にしなければならない。:処理目的に照らし不正確な個人データを遅滞なく削除または訂正することを確保するために、あらゆる適当な措置が採られなければならない。<正確性>

(e)個人データの処理目的に必要とされる期間を超えない間は、データ主体の特定を可能にする形式で保管するものとする。個人データは、第89条1項に従って公益のための保管目的、科学的または歴史的研究目的もしくは統計目的のためにのみ処理される限り、データ主体の権利および自由を保護するために本規則で必要とされる適切な技術的および組織的措置を実施する場合には、より長期間にわたり保管することができる。<保管制限>

(f)適切な技術的又は組織的な措置を講じた、権限のないまたは違法な処理および偶発的な消失、破壊または毀損に対する保護を含む、個人データの適切な安全対策を確保した方法で処理されなければならない。<完全性および機密性保持>

2 処理者は第1項の遵守に責任を負うとともに、遵守を証明できなければならない。<責任>

規則の各条文は、これらの原則は具体化したものといってよいでしょう。原則は抽象的なものではありますが、法律の解釈の指針を示すものですので、押さえておきましょう。